我对启用了 PASSWD_NOTREQD 设置的 AD 帐户有疑问。此设置到底有什么作用?
根据我自己的研究,这似乎会导致账户以两种方式之一运行:A)创建账户时不需要密码,它将忽略密码策略,并且始终可以设置为无;B)创建账户时不需要密码,但如果更改密码,则必须仍然遵守密码政策。
有人可以为我解释一下吗?
谢谢!
答案1
用户密码和更新
你的第二个假设几乎是正确的:
B) 创建帐户时不需要密码,但如果更改密码,则仍必须遵循密码策略。
为了理解这一点,请理解,更新用户帐户密码可以通过两个看似相似但非常不同的操作来完成:
- 经过环境密码
- 这是由管理用户完成的
- 通常是委托给服务台人员的权限
- 必须遵守
userAccountControl设置 - 不受密码历史记录策略设置的约束
- 经过改变密码
- 这是由用户完成的
- 通常是密码过期后第一次身份验证尝试的一部分
- 必须遵守密码政策和
userAccountControl设置
这意味着,管理员可以放null如果您的帐户对象允许(即设置),则您的密码PASSWD_NOTREQD将保持不变,而不管适用的密码策略如何以及要求密码有多长。
你不能改变但是null,由于“密码更改”意味着您正在更换密码,而不是取消设置密码。更改密码后,将根据有效的密码策略验证新密码。
我认为最容易记住的方法是密码政策适用于密码-PASSWD_NOTREQD另一方面,是衡量你是否允许没有密码——在这种情况下该策略不再相关。
危险吗?
PASSWORD_NOTREQD看起来像是一个危险的标志,但它本身并无害,因为许多机制阻止使用null-passwords(或“空白密码”)。如上所述,默认情况下,用户无法取消设置自己的 AD 用户密码,并且 Windows(消费者版和服务器版)默认会拒绝通过网络对使用空白密码的用户进行密码验证 - 这意味着您只能从控制台登录。